В общем так. уже месяц, как на компе бушует вирус win32/sality.NAM

Сначала не работал не безопасный режим, не диспечер задач. но с этим я справился, некоторые сайты недоступны из-за вируса, что затрудняет серфинг.


Стоял нод32 с последними апдейтами. ничего не смог сделать, после перезагрузки, нод исчез) и антивири более не ставятся.


Мб кто подскажет как устранить данный вирус?

Алиасы
Email-Worm.Win32.Warezov.et (Sunbelt)
I-Worm.Warezov.et (CAT-QuickHeal)
I-Worm/Stration.BOC (AVG)
W32.HLLP.Sality (Symantec)
W32/Sality-AD (Sophos)
W32/Sality.AF (F-Prot)
W32/Sality.dll (McAfee)
W32/Sality.Y (Panda)
W32/Saltiy.S (AntiVir)
W32/Stration.EFZ (Norman)
W32/Stration.ET@mm (Fortinet)
W32/Warezov.et (TheHacker)
Win-Trojan/Sality.40960 (AhnLab-V3)
Win32:KillAV-CP (Avast)
Win32.Sality.m (Rising)
Win32.Sector.28682 (DrWeb)
Win32.Warezov.ET@mm (BitDefender)
Win32/Sality.NAM (NOD32v2)
Win32/Sality.S (eTrust-Vet)
Worm:Win32/Sality.T.dll (Microsoft)
Worm.Stration.XR-1 (ClamAV)
Worm.Warezov.et (Ewido)
Дополнительные алиасы драйвера
Generic3.KXG (AVG)
TR/Drop.Warezov.A.1 (AntiVir)
Trojan.Ipsof (DrWeb)
Trojan/Sality.s (TheHacker)
VirTool:Win32/Rootkit.C (Microsoft)
W32/Rootkit.D!tr (Fortinet)
W32/Sality.W (Norman)
W32/Sality.X.drp (Panda)
Win-Trojan/Sality.5477 (AhnLab-V3)
Win32.Warezov.96 (BitDefender)
Worm.Sality.s (CAT-QuickHeal)

Описание
Файловый вирус заражет файлы с расширениями .EXE и .SCR. Записывает нажимаемые пользователем клавиши. Затем отправляет эти записи по электронной почте.

Встречен в темах
http://virusinfo.info/showthread.php?t=17573
http://virusinfo.info/showthread.php?t=18343
http://virusinfo.info/showthread.php?t=18854
http://virusinfo.info/showthread.php?t=19369
http://virusinfo.info/showthread.php?t=19545

Файлы на диске
Заражает выполняемые файлы. Кроме этого создает свои:
c:\windows\system32\wmdrtc32.dll
40960 байт
C:\WINDOWS\system32\drivers\_случайное_и мя_.sys
5477 байт

Способ запуска
1. Через зараженный файл.
2. Драйвер: NdisFileServices32
Описание: NdisFileServices32
C:\WINDOWS\system32\drivers\_случайное_и мя_.sys

Внешние проявления (со слов пользователей)
Нарушается работа антивирусных програм, их файлы удаляются. Доступ к сайтам антивирусных компаний заблокирован.


Сопсна вируслист: http://www.viruslist.com/ru/viruses/encyclopedia?virusid=140652

вот вот))) а как излечить не слова нету. ибо после удаления wmdrtc32.dll и ***.sys они восстанавливаются

тебя спасёт format c:\
и
format d:\
это самые ЛУЧШИЕ способы избавлятся от них
а чтоб не попатся на антивирусы - не имей врагов , если захотят - тебе и не поможет вирусостол :P

дада. файл был инфицирован так, что вирус тотал даже не пискнул. а вот после началось)


формат не катит. ибо слишком много нужной инфы.

Рекомендации по удалению


Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для ее удаления необходимо выполнить следующие действия:
При помощи «Диспетчера задач» завершить процесс оригинального файла червя.
Удалить оригинальный файл червя (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
Вручную удалить следующие файлы из системного каталога Windows:
%System%\vb5dmspo.dll
%System%\mspradme.exe
%System%\e1.dll
Удалить параметры из ключей системного реестра:

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
"mspradme" = "%System%\mspradme.exe"

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs" = "<имя случайной системной библиотеки>
vb5dmspo.dll e1.dll"
Удалить все зараженные письма из всех почтовых папок.
Произвести полную проверку компьютера Антивирусом Касперского с обновленными антивирусными базами
с вирус тотала. но у тебя может быть другая модификация... гугли)

сделал все, что только можно было из данной инструции. но сайты все равно не работают)

Сам хватанул что то подобное. Называлось Sality.CE или похоже.
Симптомы:
1. вирус дописывает свой код (заражает) в каждый ЕХЕшник, в результате чего многие перестают запускаться.
2.в папке C:\Documents and Settings\_Текущий пользователь_\Local Settings\Temp появляются масса файлов вида WDFTY.007
3. Создаётся новая учётная запись ASP.NET
4. Начинается активная передача данных через Интернет.
5. Есть и другие....
Лечение:
В моём случае всё просто, у меня два физических винта, первый (системный) 80ГБ, и второй дополнительный 500 ГБ. Все жизненно важные данные я перенёс на второй, первый форматнул, поставил новую винду, и Каспера (KAV7). На триальной лицензии выкачал базы, и вуаля вирус успешно вылечен всего за одну ночь. Количество заражённых файлов ~5000.Самый дешёвый вариант, это попросить у друга жёсткий диск, с установленным KAV и лечить.
Внимание, КАV7 со стандартными вирусными базами не лечит файлы, а удаляет. Необходимо выкачать свежие базы - доступно однократно в триал версии (~40МБ)

win32.sector.10 вот чем оно экзе заражает? ну что, кто еще че добавит?

Вирус опознался как:Win32.Sector.10

1. Отключаем сеть. Т.е. отключаем ADSLm Dial-up, LAN - любые сетевые подключения. Просто выдергиваем кабель.
2. Идем к неинфицированному компьютеру (в крайнем случае интернет-кафе), т.к. на инфицированном не удастся получить доступ к сайту, и скачиваем Dr.Web CureIt!. Это бесплатное приложение, которое может работать даже без установки. Скачанное приложение по возможности записываем на CD/DVD или флешку с защитой - дабы вирус не мог испортить программу. Если испортит - вместо приветственного окошка вы увидите окно стандартного распаковщика WinRAR SFX.
3. Чиним реестр с помощью установки ключа. Соглашаемся с внесением изменений в реестр.
4. Загружаемся в безопасном режиме, удерживая длительное время сразу после включения компьютера клавишу F8. Должно появиться меню с выбором вариантов загрузки. Нам нужен "Безопасный режим".
5. Лечим компьютер от вирусов. Для этого вставляем диск с записанным Dr.Web CureIt! и проводим полную проверку компьютера.
6. Перезагружаемся в обычном режиме.
7. Вновь проводим полную проверку.
8. Устанавливаем нормальный антивирус со свежими базами.

Все, осталось только вернуть себе реестри диспетчер задач....
Чтобы поправить ключи в реестре, я использовал Registry Workshop, платная но на 30 дней хватит)

включение диспетчера задач:
ставим ноль в ветке реестра
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System /v DisableTaskMgr

реестр разрешить можно так: меняем единицу на ноль в ветке
[HKCU\SOFTWARE\Microsoft\ Windows\CurrentVerson\Policies\System]
“DisableRegistryTools”=dword:00000001

Так же можно просто удалить ключи “DisableRegistryTools” и "DisableTaskMgr"

добавлю: юзай гугл.

Sality.yy (Sector.12) вылечил знакомому таким способом:
Загрузился с Live CD с виндой
Прошел винт свежим Cureit
После прошел винт AVZ
Потом прошел двумя утилитами anti-sality ( в архив кинул readme, там ничего сложного)
http://slil.ru/26272566


Да, в утилите AVZ в меню файл есть пункт восстановление системы - выставить чекбоксы на диспетчер задач, safe mode (в архиве выше есть ключи реестра для этого)

Название темы вызывающее)))